Configura criteri avanzati per il controllo dell'oggetto Criteri di gruppo di Windows Server

Configura criteri avanzati per il controllo dell'oggetto Criteri di gruppo di Windows Server

Indubbiamente, la corretta gestione del nostro server si riflette nel funzionamento ottimale di ogni caratteristica del nostro server e quindi del percorso operativo della nostra rete.

Le politiche di auditing avanzate ci danno la possibilità di avere un controllo più centralizzato poiché ci facilitano la verifica degli eventi che si verificano sul nostro server e la possibilità di determinare più chiaramente cosa accade quotidianamente.

Esamineremo come implementare le politiche di sicurezza, supponendo che il nostro schema di sicurezza possa essere suddiviso in tre (3) aree:

AutenticazioneFornire un'identità all'utente.

AutorizzazioneFornisce l'accesso all'utente autenticato.

UditoConsente di mantenere il controllo sugli utenti registrati nel sistema e sulle modifiche che possono eseguire.

Una delle domande classiche è sapere se vogliamo davvero implementare politiche di sicurezza. È qualcosa di assolutamente necessario per avere tutto sotto controllo ed evitare problemi.

Perché dovremmo implementare una politica di sicurezza?È importante come amministratori applicare politiche di sicurezza per rivedere argomenti come:

  • Quali utenti accedono correttamente.
  • Quanti tentativi non riusciti ha un utente.
  • Modifiche apportate all'Active Directory della nostra organizzazione.
  • Modifiche a file specifici.
  • Chi ha riavviato o spento il server e perché.

In questa guida imparerai come implementare, controllare, creare policy e tutto ciò di cui hai bisogno per il tuo ambiente aziendale con server Windows Server nei punti focali che devi avere controllato.

1. Gestire il controllo con Criteri di gruppo GPO


Dobbiamo specificare quali tipi di eventi di sistema vogliamo controllare utilizzando i criteri di gruppo.
Vediamo alcuni degli eventi più comuni che possiamo gestire:

Account login

  • Descrizione

Determina quando il sistema controlla un account registrato correttamente.

  • Configurazione predefinita

Accesso all'account riuscito

Amministrazione conti

  • Descrizione

Determina quando il sistema controlla ogni evento di un account registrato, ad esempio modifiche alla password, cancellazione dell'account.

  • Configurazione predefinita

Amministrazione delle attività degli account registrati in modo soddisfacente

Accesso alla directory dei servizi

  • Descrizione

Determina quando il sistema verifica che l'utente tenti di accedere ad Active Directory.

Login

  • Descrizione

Determina quando il sistema controlla il tentativo di ogni utente di accedere o disconnettersi dal sistema.

  • Configurazione predefinita

Login effettuato con successo.

Modifica della politica

  • Descrizione

Determina quando il sistema controlla ogni tentativo di modificare i criteri stabiliti del dominio.

  • Configurazione predefinita

Modifiche alle politiche di successo

Sistema

  • Descrizione

Determina quando il sistema verifica eventuali modifiche al sistema.

  • Configurazione predefinita

Eventi di sistema riusciti.

Dobbiamo prendere alcune precauzioni quando si creano criteri di controllo, ad esempio:

  • Alti livelli di controllo possono influenzare drasticamente le prestazioni del dispositivo da controllare.
  • Quando cerchiamo i log degli eventi vedremo che ci sono migliaia di log e la ricerca può interessarci. Le tempistiche da sottoporre ad audit devono essere chiaramente definite.
  • I log più recenti sostituiscono i log più vecchi, questo può impedirci di vedere eventi importanti avvenuti in un periodo precedente.

2. Implementare la politica di controllo dell'oggetto Criteri di gruppo


a implementare una politica di audit dobbiamo eseguire i seguenti passaggi:

Passo 1
Apriamo il nostro Server Manager o Server Manager. Clicchiamo su Strumenti e scegliamo l'opzione Gestione criteri di gruppo.

INGRANDIRE

Quindi visualizzerà il menu degli oggetti Criteri di gruppo, dobbiamo visualizzare il dominio corrente e fare clic con il pulsante destro del mouse su Criterio di dominio predefinito.

Passo 2
Scegliamo l'opzione Modificare e il Editor per la gestione dei criteri di gruppo.

Distribuiamo il seguente percorso:

  • Configurazione dell'attrezzatura
  • Direttive
  • Impostazioni di Windows
  • Impostazioni di sicurezza
  • Direttive locali
  • Direttiva sull'Audit

Passaggio 3
Vedremo che viene visualizzata una finestra con i diversi opzioni per l'audit:

Facciamo doppio clic sull'opzione Controlla gli eventi di accesso, vedremo che si apre la finestra delle proprietà di detto audit.

Segnaliamo la casella di controllo Definisci questa impostazione dei criteri per abilitare questa policy, attiviamo entrambe le caselle (Correzione ed Errore) e clicchiamo su Applicare e finalmente in Accettare per salvare le modifiche.

Vedremo le modifiche riflesse dal nostro audit:

3. Implementare il criterio di controllo (file o cartella)

Possiamo aggiungere un tipo di audit a uno specifico file o cartella, per questo eseguiremo il seguente processo:

Passo 1
Noi diamo clic destro nella cartella che vogliamo assegnare all'audit e scegli l'opzione Proprietà.

Nella finestra Proprietà (modifica) selezioniamo la scheda Sicurezza.

Passo 2
Facciamo clic su Opzioni avanzate e verrà visualizzata la seguente finestra:

Clicchiamo sull'opzione Audit e poi in Aggiungere.

Passaggio 3
Nella finestra visualizzata scegliamo l'opzione Seleziona un preside per trovare quale criterio aggiungere.

Abbiamo scelto il oggetto per applicare l'audit:

Infine specifichiamo i parametri di audit (Lettura, Scrittura, ecc.), clicchiamo su Accettare per salvare le modifiche.

Con questi passaggi faremo già verificare la selezione che abbiamo scelto.

RicordarePossiamo implementare politiche di audit utilizzando lo strumento AuditPol.exe incluso in Windows Server 2012, questo comando verrà visualizzato e ci consentirà di gestire i nostri criteri.

La sintassi che possiamo usare per questo comando include quanto segue:

  • / ottenere: Visualizza la politica attuale
  • /impostato: Stabilire la politica di audit
  • / elenco: Visualizza gli elementi della polizza
  • / backup: Salva la politica di controllo in un file
  • / chiaro: Pulisci la politica di audit
  • /?: Mostra aiuto

4. Eventi ed eventi dal Visualizzatore eventi


Quando abbiamo configurato le nostre politiche di sicurezza, nel visualizzatore eventi possiamo vedere tutti i diversi eventi che si sono verificati sul nostro server, questi eventi sono rappresentati da un codice numerico, vediamo alcuni degli eventi più rappresentativi:

Audit di convalida delle credenziali

  • 4774: Un account è stato mappato per l'accesso
  • 4775: Un account non è stato mappato per l'accesso
  • 4776: Il controller di dominio ha provato a convalidare le credenziali per un account
  • 4777: Il controller di dominio non è riuscito a convalidare le credenziali per un account

Controllo degli eventi per l'accesso all'account

  • 4778: Una sessione è stata ricollegata su una stazione Windows
  • 4779: Una stazione è stata disconnessa da una stazione Windows
  • 4800: Una stazione è stata bloccata
  • 4801: Una stazione è stata sbloccata
  • 5632: È stato creato un requisito per autenticare una rete Wi-Fi
  • 5633: È stato creato un requisito per autenticare una rete cablata

Audit dell'applicazione per la gestione del gruppo

  • 4783: È stata creata un'applicazione di gruppo di base
  • 4784: È stata modificata un'app di gruppo di base

Controllo della gestione dell'account

  • 4741: È stato creato un account computer
  • 4742: Un account del computer è stato modificato
  • 4743: Un account del computer è stato eliminato

Audit dell'amministrazione del gruppo di distribuzione

  • 4744: È stato creato un gruppo di distribuzione locale
  • 4746: Un membro è stato aggiunto a un gruppo di distribuzione locale
  • 4747: Un membro è stato rimosso da un gruppo di distribuzione locale
  • 4749: È stato creato un gruppo di distribuzione globale
  • 4750: È stato modificato un gruppo di distribuzione globale
  • 4753: Un gruppo di distribuzione globale è stato rimosso
  • 4760: Un gruppo di sicurezza è stato modificato

Controllo dell'amministrazione del gruppo di sicurezza

  • 4727: È stato creato un gruppo di sicurezza globale
  • 4728: Un membro è stato aggiunto a un gruppo di sicurezza globale
  • 4729: Un membro è stato rimosso da un gruppo di sicurezza globale
  • 4730: Un gruppo di sicurezza globale è stato rimosso
  • 4731: È stato creato un gruppo di sicurezza locale
  • 4732: Un membro è stato aggiunto a un gruppo di sicurezza locale

Controllo della gestione dell'account utente

  • 4720: È stato creato un account utente
  • 4722: È stato abilitato un account utente
  • 4723: È stato creato un tentativo di modificare la password
  • 4725: Un account utente è stato disabilitato
  • 4726: Un account utente è stato eliminato
  • 4738: Un account utente è stato modificato
  • 4740: Un account utente è stato bloccato
  • 4767: Un account utente è stato sbloccato
  • 4781: Il nome di un account utente è stato modificato

Audit di processo

  • 4688: È stato creato un nuovo processo
  • 4696: Un codice primario è stato assegnato a un processo
  • 4689: Un processo è terminato

Audit dei servizi di directory

  • 5136: Un oggetto del servizio di directory è stato modificato
  • 5137: È stato creato un oggetto del servizio directory
  • 5138: È stato recuperato un oggetto del servizio di directory
  • 5139: Un oggetto del servizio di directory è stato spostato
  • 5141: Un oggetto del servizio di directory è stato eliminato

Audit dell'account

  • 4634: Un account è stato disconnesso
  • 4647: L'utente ha iniziato a disconnettersi
  • 4624: Un account è stato effettuato correttamente l'accesso
  • 4625: Un account non è riuscito ad accedere

Audit di file condivisi

  • 5140: È stato effettuato l'accesso a un oggetto di rete
  • 5142: È stato aggiunto un oggetto di rete
  • 5143: Un oggetto di rete è stato modificato
  • 5144: Un oggetto di rete è stato eliminato

Altri tipi di audit

  • 4608: Windows è stato avviato
  • 4609: Windows è stato spento
  • 4616: Il fuso orario è stato modificato
  • 5025: Il firewall di Windows è stato interrotto
  • 5024: Il firewall di Windows è stato avviato

Come possiamo vedere ci sono molti più codici per rappresentare i diversi eventi che accadono quotidianamente sul nostro server e sulla nostra rete, possiamo vedere tutti i codici sul sito Web di Microsoft.

5. Accesso al Visualizzatore eventi di WServer 2012


Conosceremo il processo per accedere al visualizzatore di eventi del nostro server e da lì per poter filtrare o cercare eventi specifici.

Dobbiamo entrare in Server Manager o Server Manager. Lì selezioniamo l'opzione visualizzatore eventi dal menu Strumenti.

INGRANDIRE

Lì verrà visualizzata la rispettiva finestra per poter cercare gli eventi sul nostro dispositivo:

Nel menu di sinistra abbiamo diverse opzioni per vedere gli eventi.

Come vediamo possiamo filtra per categorie Che cosa:

  • Registri di Windows
  • Registri dell'applicazione
  • Microsoft

E a sua volta possiamo cercare per sottocategorie come Applicazione, Sicurezza, ecc.

Ad esempio scegliamo l'opzione Sicurezza dal menu Registri di Windows.

INGRANDIRE

Possiamo vedere nel menu centrale il struttura dell'evento:

  • Nome dell'evento
  • Data dell'evento
  • Fonte
  • ID evento (già visto prima)
  • Categoria

Nel menu di sinistra troviamo le opzioni per regolare il nostro visualizzatore di eventi, come ad esempio:

  • Apri i record salvati: Ci consente di aprire i record che abbiamo precedentemente salvato.
  • Visualizzazione personalizzata: Ci permette di creare una vista in base alle nostre esigenze, ad esempio possiamo crearla per ID evento, per data, per categoria, ecc.
  • Importa visualizzazione personalizzata: Ci permette di importare la nostra vista creata in un'altra posizione.
  • Registro vuoto: Possiamo lasciare il visualizzatore di eventi a zero.
  • Filtra record corrente: Possiamo eseguire parametri per eseguire una ricerca più specifica.
  • Proprietà: Visualizza le proprietà dell'evento.

E così ci rendiamo conto che abbiamo altre opzioni nel nostro visualizzatore di eventi.
Possiamo creare una policy di audit per i dispositivi rimovibili, per questo eseguiremo il seguente processo:

entriamo nel nostro Amministratore del server
Scegliamo dal menu Strumenti l'opzione Gestore criteri di gruppo.

Dobbiamo visualizzare il nostro dominio, clic destro, clic Modificare e inserisci il seguente percorso:

  • Configurazione dell'attrezzatura
  • Direttive
  • Impostazioni di Windows
  • Impostazioni di sicurezza
  • Impostazioni avanzate dei criteri di controllo
  • Impostazioni dei criteri
  • Accesso agli oggetti

Facciamo doppio clic su Accesso agli oggetti, scegliamo l'opzione Controlla l'archiviazione rimovibile.

Verrà visualizzata la rispettiva finestra, attiviamo la casella di controllo Configura i seguenti eventi di controllo e scegliamo l'opzione Corretto.

Per salvare le modifiche clicchiamo su Applicare e poi in Accettare.

Come si vede, esistono strumenti che rendono la gestione amministrativa di una rete un compito estremamente importante e responsabile, dobbiamo esplorare a fondo tutto ciò che Windows Server 2012 ci offre per avere una rete sempre disponibile.

Nascondi unità Windows Server GPO

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
▷ Abilita o disabilita il firewall di Ubuntu 21.04
2
post-title
Come eliminare in modo sicuro e permanente file e directory in Linux
3
post-title
Google ti permette di controllare la sicurezza del web
4
post-title
▷ Come cambiare (foto) l'immagine del profilo Disney Plus
5
post-title
Come attivare e utilizzare Siri su iPhone 11, iPhone 11 Pro o iPhone 11 Pro Max

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -